--------'AIDE'(Advanced Intrusion detection Environment):
: [ 先进'入侵检测'环境 ] 监控系统
--//功能:将系统当前状态 和 存储的数据库 进行对比,检查是否存在任何更改。
1. yum -y install aide-* //安装aide包
2./etc/aide.conf 自定义配置文件 //定义存储/对比的规则 && 检查哪些文件
3.aide --init //构建初始数据库 -> /var/lib/aide/aide.db.new.gz
4.备份/etc/aide.conf && /usr/sbin/aide && aide.db.new.gz
5.cp aide.db.new.gz aide.db.gz(预期名称)
例如,useradd Joe
6.aide --check //比较 系统当前状态 和 aide.db.gz,列出变化的系统信息
/显示/var/log/aide/aide.log 记录的信息
-----'Sar'(System Activity Reporter)系统监控
--//功能:收集系统活动信息,such as 内存使用 / 磁盘I/O / 网络活动 等
rpm包:sysstat
运作模式:
1.安装sysstat后,将设置cron任务,每10min抽取1次的系统活动样例,并将其保存到文件;
2.命令行运行 sar 命令
命令::
sar -A //显示今天收集的所有信息
sar -u 2 5 //-u:监控cpu; 2:每2s抽取一次;5:一共抽取 5次
sar -d 1 5 //-d:监控dev设备
------'iSCSI存储'
----//功能:iSCSI(Internet SCSI)支持从 Client 通过 IP 向 远程Server上的 SCSI设备 发送 iSCSI命令
IQN:“iSCSI限定名称“ --每个发起端[Client] 和 目标[远程硬盘] 需要唯一名称标识
rpm包:iscsi-initiator-utils
命令:
1.iscsiadm -m discovery -t st -p 192.168.0.254 //查找iSCSI服务器提供的iSCSI目标:
iqn.2010-09.com.example:rdisks.demo
2.iscsiadm -m node -T iqn.2010-09.com.example:rdisks.demo -p 192.168.0.254 -l //登录iSCSI目标
3.fdisk -l //查看是否增加新的磁盘
4.对磁盘进行格式化/挂在文件系统 //用UUID挂在在fstab挂载选项:_netdev
5.service iscsi status //检查iSCSI状态:IQN/iSCSI目标的IP地址/本地设备名称
---//中断使用iSCSI
a> 从fstab删除
b> iscsiadm -m node -T iqn.2010-09.com.example:rdisks.demo -p 192.168.0.254 -u //暂时断开连接:重启iscsi,即重新挂载
c> iscsiadm -m node -T iqn.2010-09.com.example:rdisks.demo -p 192.168.0.254 -o delete //永久断开
--------'内核参数:'
文件:/etc/sysctl.conf :内核参数配置文件
net.ipv4.ip_forward = 1 //开启静态路由转发功能,即允许数据包的路由转发功能:(通过向filter表中的FORWARD链添加规则实现)
net.ipv4.icmp_echo_ignore_all = 1 //禁止ping相应,即其他host ping 该主机时,该主机无响应。
命令:
1.sysctl -a | grep icmp //查看内核所有参数
2.sysctl -p //让内核参数立即生效
3.modinfo kvm //查看kvm内核信息
------'postfix(port:25)'
补充: 1.postfix 实现了[*SMTP协议*],'发送邮件',邮件Server端。
2.[ICMP/POP协议],'接收邮件';
配置文件:
1./etc/postfix/main.cf
myhostname = desktop4.example.com //邮件Server的hostname
inet_interfaces = localhost '->' all //localhost:只允许Server本机 访问 postfix服务;
//all:允许任何host 访问 postfix服务;
命令: 1.service postfix restart //修改配置文件,重启服务
-----'ssh端口转发':(以postfix 邮件协议为例)
功能:为 [ 其他服务 ] 设置'安全隧道',使用'加密连接'通过防火墙传输 或 代理网络通信.
Client ----------------- sshhost -----------------------mail host
sshhost:客户端 到 服务器 之间的 '防火墙'
命令:
[ssh -L localport:remotehost:remoteport sshhost]
h
ssh -L 3000:mailhost:25 sshost
//Client 运行 以上命令,即建立安全隧道:Client localport -------22:sshhost---------25:mailhost
telnet localhost 3000 //通过访问本地端口,建立到远程host的安全连接
//1.当Client应用程序 尝试连接到 localport 时,ssh 将通过安全隧道 把连接转发到 sshhost;
//2.sshhost上的 sshd 进程, 将连接 转发到 remotehost:remoteport, 从而 完成 安全隧道。
注:'自动设置' ssh隧道的服务
1.ssh -X jacky@Server //X11转发
2.vncviewer -via bbb@Server localhost:2 //VNC
3.ssh jacky@Server command //执行某个command
------LDAP:轻量级目录访问协议(Lightweight Directory Access Protocol)
'功能':使用LDAP服务器进行'网络身份验证'
/*切记*/:ldapuser存储在Server端,所以su - ldapuser1时,ldapuser1在client端没有主目录,需要挂在主目录
'步骤':(客户端配置)
1.安装软件包
yum -y groupinstall "directory-client" //安装包组
2.同步LDAP服务器时间
'system-config-date'
3.配置LDAP客户端
/**a.ldap client配置成功后,自动启动sssd,
b.sssd服务用于向 ldap Server 进行集中化身份验证:
/etc/nsswitch.conf: passwd files sss
**/
'system-config-authentication'
dc=example,dc=com //Server域
ftp://instructor.example.com/pub/EXAMPLE-CA-CERT //指定Server端CA证书位置
4.查看ldapuser4
getent passwd ldapuser4 //查看远程服务器上ldapuser4的passwd数据
ldapuser4:x:1704:1704:LDAP Test User 4:『**'/home/guests/ldapuser4'**』:/bin/bash
//此处的 [路径]是『ldapuser4家目录的挂载点』;即是说任何想挂载 ldapuser4的客户端,都必须在客户机创建相同的 [路径],并挂载于此。
//即auto.master中必须于此 『路径』相同:
[/home/guests/] /etc/auto.ldap
'注': 1.getent passwd [无参数],显示的是本地/etc/passwd中的数据
2>[修改/etc/sssd/sssd.conf:添加enumerate = True(查看ldapuser在Server端的挂在点);
重启service sssd restart
getent passwd //此时则查看的是服务器上所有ldapusers信息
5.验证ldap客户端配置是否正确
su - ldapuser4 //此时提示ldapuser4无家目录
6.挂在ldapuser1主目录
showmount -e 192.168.0.254 //查看server的NFS『导出目录』
/home/abcd 192.168.0.0/255.255.255.0 //特殊情况:---------------------- ------------------------- 不同
/home/guests 192.168.0.0/255.255.255.0 //通常情况:ldapusers的『导出目录』 和 『ldapuser4家目录的挂载点』一致
//'注':auto.ldap中必须 和『导出目录』(/home/abcd/ | /home/guests)一致
* -rw 192.168.0.254:/home/abcd/&
* -rw 192.168.0.254:/home/guests/&
----'autofs自动挂载'
/etc/auto.master: /home/guests /etc/auto.ldap
/etc/auto.ldap: * -rw 192.168.0.254:/home/guests/& //&:匹配 * ,即和 * 一致(推荐使用)
ldapuser1 -rw 192.168.0.254:/home/guests/ldapuser1 //只挂载ldapuser1
『导出目录』 ---> 『ldapuser4家目录的挂载点』
------autofs:'按需'挂载网络文件系统NFS
'配置文件'
1./etc/sysconfig/autofs
TIMEOUT 300 //解除挂载的时间
'特殊映射' /net
/net:默认情况,当autofs运行时,存在/net目录;当服务停止时,/net消失
使用方法:当访问不存在的目录/net/nfsserver.domain会'自动'挂在该子目录,
并'显示'NFS服务器的所有导出目录(exported dir). //称为浏览共享
1.ls /net/192.168.0.1 //则/net下生成目录192.168.0.1
2.ls /net/192.168.0.1
dir1 dir2 dir3 //显示NFS服务器所有导出的目录
3.可直接访问dir[1-3]目录
'间接映射'--使用两层配置文件语法
'步骤
1./etc/auto.master('主配置文件') 添加一行:automounter map
/demo /etc/auto.jack //'第二配置文件':/demo是挂载点的父目录
2./etc/auto.jack //默认为空
automount -ro 192.168.0.1:/dir //automount是挂载点,即/demo/automount(激活提示符)
3.service autofs stop //BUG:必须先stop,再start
4.service autofs start
====================================================================================================================
-----'分区加密'
'注':LUKS(Linux 统一密钥设置)是标准的 设备加密'格式'。LUKS可以对 分区 && 卷 加密。
必须先解密,才能挂载其中的文件系统。
'创建加密分区'
1.fdisk 创建分区
2.cryptsetup luksFormat /dev/sda9 //对新分区加密,并设置解密密码: luks
3.cryptsetup luksOpen /dev/sda9 luks //将/dev/sda9 映射为 /dev/mapper/luck
4.mkfs.ext3 /dev/mapper/luks
5.mount /dev/mapper/luks /mnt/luks //挂载
'永久挂载加密分区'---/*写入fstab*/
1./etc/crypttab :包含要在系统启动时 解锁的设备列表
luks /dev/sda9 [/path/to/passwd/file] //如果省略[ ],则系统启动时提示输入解密密码。Ctrl+C可跳过,不挂载加密该分区。
2./etc/fstab
UUID=7826f66e-4fdc-4ab8-9d95-6a1ddb1c7eaa /mnt/luks ext3 defaults 0 0 //挂载/dev/mapper/sda9
[3.创建包含 解密密码的 密钥文件 ————为了安全,文件规root所有,并且600]
echo -n "luks" > /root/luks_key //将密码写入文件
chown root /root/luks_key
chmod 600 /root/luks_key
cryptsetup luksAddKey /dev/sda9 /root/luks_key //添加密钥文件
4.解除加密
umount /dev/mapper/luks
cryptsetup luksClose luks //解除加密
=======================================================================================================================================
-----'配额设置'(在文件系统上针对用户或组等) --设置容量大小 or inode个数
1./etc/fstab
UUID=7826f66e-4fd /home ext3 default,usrquota[,grpquota] 0 0
2.mount -o remount /home //重新挂载,使fstab的修改生效
2.quotacheck -cum /home //-c:不读取存在的quota file; -u:只对user quota检查. -m:force checking
3.quotaon /home //激活/home分区的文件系统
4.edquota -u wode //设置 user quota
Disk quotas for user wode (uid 500):
Filesystem blocks soft hard inodes soft hard
/dev/sda3 36(已有) 50 80 8(已有) 10 30
'注:' a.默认单位为1K,wode创建的 文件大小 必须 < 80K && 文件个数 inodes< 30
--------GnuPG加密(GNU Privacy Guard 隐私保护)
'情景描述':stu@192.168.0.4 向 tea@192.168.0.2 发送文件。
'所需密钥对':
1.tea创建的密钥对——加密文件:
将tea_pub发给stu,stu用tea_pub加密传输文件file; tea使用tea_pri解密文件file.
2.stu创建的密钥对——验证文件是否被中途被截获并修改: //???原理待查
'步骤'
1.tea创建密钥对:(可以使用图形工具创建)
gpg --gen-key //创建密钥对:key-id为id_jacky,密码:123456
gpg --export --armor id_jacky -o ./tea_pub //导出tea_pub
scp ./tea_pub stu@192.168.0.4:/home/stu/ //传tea_pub -> stu
2.stu创建密钥对:(可用图形工具)
gpg --gen-key
3.stu导入tea_pub
gpg --import ~/tea_pub //导入
gpg --list-keys //查看stu的密钥(包括导入的tea_pub)
4.stu传输file -> tea
gpg --encrypt --armor -r id_jacky file //用tea_pub加密file -> file.asc
scp ./file.asc tea@192.168.0.2:/home/tea //将加密文件file.asc -> tea
5.tea用'tea创建的私钥'解密file
gpg --decrypt file.asc //输入密钥的[调用密码]123456,解密file.asc -> file
-------sudo:用户通过验证自己的密码,执行所赋予的root级别命令
0.export PATH=$PATH:/sbin //将/sbin/填入$PATH,只有本次登录有效
//永久生效:~/.bashrc export PATH=$PATH:/sbin [只对该用户生效]
//etc/profile最后添加-------------- [对所有用户生效]
1.visudo 编辑/etc/sudoers:'详情man sudoers'
root ALL=(ALL) ALL //root can run any commands anywhere
jacky ALL=(root) /sbin/fdisk //jacky may run /sbin/fdisk as root
Joe ALL=(root) NOPASSWD:/sbin/fdisk //Joe无须密码即可执行
2.su - jacky
3.sudo fdisk -l //输入jacky的密码,即可以root用户执行fdisk
-------:'搭建KVM环境'
1.yum -y install kvm libvirtd virt-manager //安装
2.开启libvirtd服务
3.即可使用KVM安装 虚拟机
4.命令集:
virsh --help //显示命令帮助
virsh list //查看虚拟机个数
-------/*d定期任务:cron*/
crontab [-u jacky] -e //添加/修改任务
分 时 日 月 周
40 12 * * * mail -s "标题" Jenny@localhost < /home/jacky/aaa
crontab -l //查看
crontab -r [id] //删除